Guerre 2.0 contre les ransomwares et DarkSide, la contre-attaque est en marche !

Le monde entier fait face à une explosion des cybermenaces depuis le début de la crise sanitaire en 2020. L'incident de ransomware qui a touché le groupe Colonial Pipeline en mai dernier a attiré une attention considérable et légitime sur les conditions de sécurité des réseaux.

Bien que les cyberattaques à répétition aient donné l’alerte et naturellement sensibilisé les entreprises, une question reste en suspens : sont-elles suffisamment informées et formées contre les cybermenaces ? Comment s’en prémunir efficacement et durablement ? Éléments de réponse.

La cyberattaque de trop qui sonne le glas !

Le 7 mai 2021, le groupe Colonial Pipeline a subi un incident majeur de ransomware qui a engendré une perte de plusieurs millions de dollars à la compagnie pétrolière. Même si toutes les informations disponibles indiquent que le ransomware n'a touché que les systèmes informatiques d'entreprise de Colonial, la société a tout de même par prudence pris la décision de fermer de manière préventive les systèmes de contrôle industriel (ICS) liés. L'intrusion et les perturbations qui en ont résulté sont liées à une variante de ransomware connue sous le nom de DarkSide. Actif depuis au moins août 2020, DarkSide fonctionne selon un modèle de "Ransomware as a Service" ou "affilié" dans lequel le groupe fournit des services de ransomware à "double extorsion" à d'autres entités qui exécutent l'intrusion réelle dans le réseau et le déploiement des capacités. DarkSide gère ensuite les négociations et le paiement afin de décrypter les informations de la victime et arrêter la fuite sélective des données exfiltrées du réseau cible.

Si l'activité liée à DarkSide s'est poursuivie à un rythme relativement régulier depuis sa découverte initiale en 2020, l'incident de Colonial Pipeline est remarquable en raison de son impact. Bien qu'il ne s'agisse ni de la première cyber intrusion notable dans les systèmes de pipelines, ni du premier événement de ransomware sur les infrastructures de pipelines, l'arrêt préventif des systèmes critiques de Colonial a déclenché un arrêt de leurs opérations. Étant l'une des principales artères de livraison de produits pétroliers raffinés dans l'est et le sud-est des États-Unis, la perturbation a suscité des réactions allant de l'achat panique d'essence aux déclarations de la Maison-Blanche. Bien que Colonial ait pu commencer à rétablir ses opérations dès le 12 mai 2021, le choc et les impacts à court terme de l'événement ont été ressentis dans les cercles des décideurs politiques et de la sécurité de l'information.

Une technique d’intrusion bien ficelée

Le ransomware DarkSide a touché de nombreuses victimes depuis sa découverte en 2020. Pourtant, si cette charge ultime induisant une perturbation du réseau (et un vol de données à des fins d'extorsion) est préoccupante, les entreprises doivent se concentrer sur les étapes préliminaires permettant l'exécution du ransomware plutôt que sur la famille de ransomware elle-même. À cet égard, le déploiement du ransomware DarkSide par les cyberpirates est lié à une variété de mécanismes d'accès : activités de phishing exploitant des pièces jointes malveillantes, attaques par relecture de justificatifs contre des services externes, tels que le protocole RDP (Remote Desktop Protocol), utilisation d'exploits publiquement divulgués contre des services externes, tels que des vulnérabilités dans des appareils VPN accessibles de l'extérieur.

Une fois infiltré dans les réseaux des entreprises victimes, le DarkSide exploite une combinaison d'outils intégrés au système tels que les "LoLBins" et d'outils disponibles publiquement pour divers niveaux de communication et de fonctionnalité du réseau. Ces éléments sont déployés à la fois pour se propager dans le réseau de l’entreprise, mais aussi pour maintenir le commandement et le contrôle de tous les implants ou outils. 

Ces mécanismes d'intrusion initiaux s'alignent sur les techniques courantes associées non seulement aux opérations criminelles (comme les ransomwares), mais aussi aux menaces persistantes avancées (APT) ou aux intrusions dirigées par des États.

Visibilité et surveillance du réseau, la solution…

À ce stade, dans de nombreux cas la visibilité des points d'extrémité devient précieuse pour évaluer une intrusion. Toutefois, même la meilleure visibilité de ces points d'extrémité ne suffit pas à elle seule à suivre, détecter et surveiller des adversaires insaisissables. C'est particulièrement le cas pour les déplacements dans le réseau interne. En associant la surveillance et la visibilité du réseau à une surveillance robuste de la sécurité du réseau, les équipes InfoSec peuvent s'assurer que toutes les voies possibles d'intervention des intrus sont monitorées.

De plus, en mettant en place une surveillance des communications externes liées aux outils ou en examinant les flux de communication internes liés à la recherche de mouvements latéraux, les entreprises peuvent identifier les comportements malveillants, même lorsque la visibilité des points d'accès et autres dispositifs similaires peut être contournée.

En plus du cryptage des données, les informations des entreprises victimes sont volées avec la menace d'être publiées si le paiement n'est pas effectué. L'identification d'une exfiltration de données à grande échelle en cours peut être un indicateur d'actions perturbatrices imminentes et, si elle est détectée à temps, elle peut permettre aux équipes InfoSec de réagir rapidement pour éviter d'autres dommages. 

… pour une contre-attaque musclée

Les comportements susmentionnés offrent une variété de possibilités de détection. Les mécanismes identifiés ne sont pas distincts du déploiement du DarkSide et présente un avantage considérable pour les équipes informatiques dans la mesure où l'identification des techniques générales associées à ces intrusions permettra une couverture défensive sur un grand nombre de cybermenaces potentielles. De plus, étant donné les efforts déployés par les entités liées à DarkSide (ainsi que les nombreuses autres menaces) pour échapper aux solutions de détection et de réponse aux points d'accès (EDR), le renforcement de la visibilité centrée sur l'hôte par une surveillance robuste du réseau peut permettre de détecter de telles opérations à plusieurs phases de la chaîne de destruction cybernétique.

Les événements de sécurité réseau ne doivent pas seulement être considérés comme des occurrences atomiques et discrètes, mais comme des éléments interdépendants liés par le temps et l'exécution. En reliant les observations discrètes en une analyse complexe et à haut niveau de confiance des comportements malveillants, les entreprises peuvent non seulement garantir une réponse aux événements de haute gravité et à haut niveau de confiance, mais aussi alerter sur les manœuvres liées à de nombreux acteurs de la menace.

La mise en place d'une visibilité et d'une surveillance du réseau, non seulement à la périphérie, mais aussi au niveau du trafic interne, peut ainsi permettre des réponses défensives rapides et puissantes, couvrant une grande variété de menaces.